歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
金融資安中心 建立主動的資安防護思維
2017 / 05 / 10
編輯部
過去這一年對金融業的IT人員可說是充滿內憂外患的一年。內憂是面對金融科技的趨勢,雖然政府在法規上尚有諸多限制,國內銀行還是推出相關的App,希望提供客戶更便利的金融服務。但2016年7月媒體報導,國內資安鑑識業者鑒真數位檢測20家銀行業者於Google Play上架的App,結果竟有17家不安全。
外患則是自2016年1月就出現英國匯豐銀行遭DDoS攻擊、2月孟加拉銀行遭駭,被盜領8,100萬美金。接著國內6月也發生一銀ATM盜領事件,今年初農曆過年前後則爆發出多名券商集體遭DDoS攻擊勒索,在在顯示國內金融資安有待加強的必要,也讓我國負責主管金融單位的機關金管會更加速「金融資安中心」(F-ISAC平台)的成立。
提供通報、訓練、資服等多種功能
金管會推動的F-ISAC,在國外已有類似機構的設置,像是美國的FS-ISAC、英國的CISP、日本的F ISAC JPN、南韓的KF-ISAC。在制度上也會參考這些單位採用會員制,邀集銀行、保險、證券期貨、投信投顧等相關業者入會,目標是300家以上業者加入。經費上目前規劃約需5,000萬元,政院已提撥2,000萬,餘額部分可能由會員共同負擔。
在功能上F-ISAC規劃具備通報、情資研判分析、資安資訊分享、資安諮詢服務及漏洞評估、技術訓練/研討會/國際交流、資安事件應變協助、資安專題研究分析、金融機構資安演練,與協助資安規範評估及建議9項任務。
在具體進展上,去年行政院資安處公布的資通安全管理法草案中,便已將資通安全環境建構與資通安全產業發展視為立法目的之一。因此在草案第七條中便明訂行政院應建立資通安全情資分享機制的條文,所以自2015年底就已開始規劃建立F-ISAC情資分享平台,並在2016年3月起先試辦以投信投顧、期貨證券為主要對象的「證券暨期貨周邊單位資安資訊分享平台」。到2016年11月時已有39位會員加入,離300家目標尚有相當大的差距,也表示業者對F-ISAC的運作機制尚有疑慮。
政府應明訂規範 解除金融業者的憂慮
首先是目前試辦的情資分享平台是否有用?是否真能達到事先預警的效果?這點在國內外金融機構陸續發生重大攻擊事件後,相信對業者來說有更迫切的需要,增加其加入情資分享平台的意願。
另一個讓業者擔憂的是自己主動通報的資安事件,是否會變成金管會進行金融檢查的依據?尤其是這些通報事件往往牽涉敏感資料,使得金融業者對此特別保守謹慎。這部分則有賴主管機關的強力說明,像是採用匿名通報的機制,或明確規範通報資料僅限特定用途使用等,才能讓業者更願意參與分享平台。
有助國內資安產業發展
F-ISAC的設置從國家政府的角度來看,因為銀行與金融皆屬國家重大關建基礎建設,維護金融體系的資訊安全也是國家資訊安全的一部分。而且從F-ISAC所規劃的9大功能來看,F-ISAC的建置維運,除了最基本的資安軟、硬體廠商受惠外;其他資服廠商,像民間的SOC、各大電信業者等都會參與其中,也有助於國內資安產業的發展。
對金融業者來說,採取封閉但相對安全的基礎架構已經過去。未來的金融消費只會朝向更開放、多元的趨勢演變,所以對資訊安全也要從被動的防護,走向積極的預警通報。畢竟連駭客都已經走向組織分工的時候,金融業者也不能再用單打獨鬥的防禦思維,而需彼此合作建立聯防體系,才能遏阻攻擊,預防事件擴大降低用戶信心,而影響到金融業務的推展。
資安防護
F-ISA
最新活動
2025.02.19
2025資安365年會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
美國CISA發布OT安全採購指南:強調12項關鍵產品安全要素
駭客利用SPF DNS設定錯誤建立MikroTik殭屍網路散布惡意程式
Microsoft 推出 2025年1月 Patch Tuesday 每月例行更新修補包
美國FTC提告GoDaddy長年網路安全防護不足
美國CERT示警:420萬台設備存在通道協定漏洞,VPN和路由器皆受影響
資安人科技網
文章推薦
思科修補Meeting Management重大權限漏洞,可導致遠端提權攻擊
Cloudflare CDN漏洞恐洩露用戶位置資訊
OT與IT系統融合:資安環境新挑戰